这是一篇学习笔记~
学习笔记原址:超详细的 Wireshark 使用教程 - 知乎 (zhihu.com)
Wireshark常用应用场景
- 网络管理员会使用wireshark来检查网络问题
- 软件测试工程师使用wireshark抓包,来分析自己测试的软件
- 从事sockets编程的工程师会用wireshark来调试
- 运维人员用于日常工作,应急响应等等
总之跟网络相关的东西,都可能会用到wireshark
Vireshark抓包原理
- Vireshark使用VinPCAP作为接口,直接与网卡进行数据报文交换。
- Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。
- 「单机情况」下,Vireshark直接抓取本机网卡的网络流量;
- 「交换机情况】下,Vireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。
- 端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
- ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端瑞的MAC地址,从而获取局域网的网络流量。
Vireshark抓包示例——抓取ping命令操作的示例
- 打开wireshark——菜单栏“捕获”——“选项”——勾选“WLAN”(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)——点击Start,启动抓包。
- 启动后,处于抓包状态中
- 执行需要抓包的操作,如在cmd窗口下执行ping baidu.com。
- 操作完成后相关数据包就抓取到了,可以点击 停止捕获分组 按钮。
- 为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 192.168.101.77 and icmp 表示只显示ICPM协议且主机IP为192.168.101.77的数据包。说明:协议名称icmp要小写。
- 如何看电脑主机IP——使用Windows+R键打开“运行”窗口,然后输入CMD进入命令提示窗口——输入:ipconfig/all 回车即可看到整个电脑的详细的IP配置信息
- 根据各自电脑网卡使用情况找到自己电脑的IP
- wireshark抓包完成,并把本次抓包或者分析的结果进行保存,就这么简单。
Wireshakr抓包界面介绍
Wireshark 的主界面包含6个部分:
- 菜单栏:用于调试、配置
- 工具栏:常用功能的快捷方式
- 过滤栏:指定过滤条件,过滤数据包
- 数据包列表:核心区域,每一行就是一个数据包
- 数据包详情:数据包的详细数据
- 数据包字节:数据包对应的字节流,二进制
- 说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏 视图 --> 着色规则。如下所示
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器)
用于设置过滤条件进行数据包列表过滤。菜单路径:分析 --> Display Filters。
2. Packet List Pane(数据包列表)
显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
3. Packet Details Pane(数据包详细信息)
在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1)Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
(4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
4. Dissector Pane(数据包字节区)
报文原始内容。
Wireshark过滤器设置
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己需要抓取的数据包部分。
wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
1、抓包过滤器
- 捕获过滤器的菜单栏路径为 捕获 --> 捕获过滤器。用于在抓取数据包前设置。
- ip host 192.168.101.77表示只捕获主机IP为192.168.101.77的数据包,获取结果如下:
2、显示过滤器
- 显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。
- 通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。
wireshark过滤器表达式的规则
1. 抓包过滤器语法和实例
- 抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&与、|| 或、!非)
(1)协议过滤
- 比较简单,直接在抓包过滤框中直接输入协议名即可。
- tcp,只显示TCP协议的数据包列表
- http,只查看HTTP协议的数据包列表
- icmp,只显示ICMP协议的数据包列表
(2)IP过滤
- host 192.168.1.104
- src host 192.168.1.104
- dst host 192.168.1.104
(3)端口过滤
- port 80
- src port 80
- dst port 80
(4)逻辑运算符&&与、|| 或、!非
- src host 192.168.1.104 &&dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
- host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
- !broadcast 不抓取广播数据包
2. 显示过滤器语法和实例
(1)比较操作符
- 比较操作符有
== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于
(2)协议过滤
- 比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
- tcp,只显示TCP协议的数据包列表
- http,只查看HTTP协议的数据包列表
- icmp,只显示ICMP协议的数据包列表
(3) ip过滤
- ip.src ==112.53.42.42 显示源地址为112.53.42.42的数据包列表
- ip.dst==112.53.42.42, 显示目标地址为112.53.42.42的数据包列表
- ip.addr == 112.53.42.42 显示源IP地址或目标IP地址为112.53.42.42的数据包列表
(4)端口过滤
- tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
- tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
- tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
(5) http模式过滤
- http.request.method=="GET", 只显示HTTP GET方法的。
(6)逻辑运算符为 and/or/not
- 过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.0.104的ICMP数据包表达式为ip.addr == 192.168.0.104 and icmp
(7)按照数据包内容过滤
- 假设我要以ICMP层中的内容进行过滤,
- 在过滤器中输入“icmp”【记得小写】——选中数据——查看数据包详情——点击“Internet Control Message Protocol “ ——右键”Data(32 bytes)“——”“作为过滤器应用”——“选中”
- 选中后过滤器中显示如下:
- 后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。关键词是contains,完整条件表达式为data contains "abcd"
常见用显示过滤需求及其对应表达式
数据链路层:
筛选mac地址为04:f9:38:ad:13:26的数据包
eth.src == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包----
eth.src == 04:f9:38:ad:13:26
网络层:
筛选ip地址为192.168.1.1的数据包
ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据
ip contains "192.168.1"
传输层:
筛选端口为80的数据包
tcp.port == 80
筛选12345端口和80端口之间的数据包
tcp.port == 12345 &&tcp.port == 80
筛选从12345端口到80端口的数据包
tcp.srcport == 12345 &&tcp.dstport == 80
应用层:
特别说明: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。
筛选url中包含.php的http数据包
http.request.uri contains ".php"
筛选内容包含username的http数据包
http contains "username"
2. Wireshark抓包获取访问指定服务端数据包
1、启动wireshark抓包,打开浏览器输入http://www.baidu.com。
2、使用ping http://www.baidu.com获取IP。
3、输入过滤条件获取待分析数据包列表 ip.addr == 36.155.132.55
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。
数据包的关键属性如下:
SYN :标志位,表示请求建立连接
Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据
Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK。将确认序号(Acknowledgement Number)字段+1,即0+1=1。
数据包的关键属性如下:
[SYN + ACK]: 标志位,同意建立连接,并回送SYN+ACK
Seq = 0 :初始建立值为0,表示当前还没有发送数据
Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1。并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,并且在Flag段写ACK的+1:
数据包的关键属性如下:
ACK :标志位,表示已经收到记录
Seq = 1 :表示当前已经发送1个数据
Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。